Udostępnij za pośrednictwem

Naprawa konta Automanage

Uwaga

30 września 2027 r. usługa Azure Automanage Best Practices zostanie wycofana. W związku z tym próba utworzenia nowego profilu konfiguracji lub dołączenia nowej subskrypcji do usługi spowoduje wystąpienie błędu. Dowiedz się więcej o tym, jak przeprowadzić migrację do usługi Azure Policy przed tą datą.

Uwaga

Od 1 lutego 2025 r. usługa Azure Automanage rozpocznie wdrażanie zmian, aby zaprzestać obsługi i egzekwowania dla wszystkich usług zależnych od przestarzałego agenta Microsoft Monitoring Agent (MMA). Aby kontynuować korzystanie z rozwiązania Change Tracking and Management, VM Insights, Update Management i Azure Automation, przeprowadź migrację do nowego agenta usługi Azure Monitor (AMA).

Ważne

Ten artykuł dotyczy tylko maszyn, które zostały włączone do wcześniejszej wersji Automanage (wersja API 2020-06-30-preview). Stan tych maszyn będzie mieć wartość Wymaga uaktualnienia.

Konto usługi Azure Automanage to kontekst zabezpieczeń lub tożsamość, w ramach której są wykonywane zautomatyzowane operacje. Jeśli niedawno przeniesiono subskrypcję zawierającą konto Automanage do nowej dzierżawy, musisz ponownie skonfigurować konto. Aby go ponownie skonfigurować, musisz zresetować typ tożsamości i przypisać odpowiednie role dla konta.

Krok 1: Resetowanie typu tożsamości konta Automanage

Zresetuj typ tożsamości konta Automanage przy użyciu następującego szablonu usługi Azure Resource Manager (ARM). Zapisz plik lokalnie jako armdeploy.json lub podobną nazwę. Zanotuj nazwę i lokalizację konta automatycznego zarządzania, ponieważ są one wymagane w szablonie usługi ARM.

  1. Utwórz wdrożenie usługi Resource Manager przy użyciu następującego szablonu. Użyj identityType = None.

    • Wdrożenie można utworzyć w interfejsie wiersza polecenia platformy Azure przy użyciu polecenia az deployment sub create. Aby uzyskać więcej informacji, zobacz az deployment sub.
    • Wdrożenie można utworzyć w programie PowerShell przy użyciu modułu New-AzDeployment . Aby uzyskać więcej informacji, zobacz New-AzDeployment.

  2. Uruchom ponownie ten sam szablon ARM z identityType = SystemAssigned.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "accountName": {
            "type": "string"
        },
        "location": {
            "type": "string"
        },
        "identityType": {
            "type": "string",
            "allowedValues": [ "None", "SystemAssigned" ]
        }
    },
    "resources": [
        {
            "apiVersion": "2020-06-30-preview",
            "name": "[parameters('accountName')]",
            "location": "[parameters('location')]",
            "type": "Microsoft.Automanage/accounts",
            "identity": {
                "type": "[parameters('identityType')]"
            }
        }
    ]
}

Krok 2. Przypisywanie odpowiednich ról dla konta automatycznego zarządzania

Konto Automanage wymaga posiadania ról Współautora i Współautora zasad zasobów w subskrypcji, która zawiera maszyny wirtualne zarządzane przez Automanage. Te role można przypisać przy użyciu witryny Azure Portal, szablonów usługi ARM lub interfejsu wiersza polecenia platformy Azure.

Jeśli używasz szablonu ARM lub interfejsu wiersza polecenia platformy Azure, będziesz potrzebować identyfikatora podmiotu zabezpieczeń (znanego również jako identyfikator obiektu) Twojego konta Automanage. (Nie potrzebujesz identyfikatora, jeśli używasz witryny Azure Portal). Ten identyfikator można znaleźć przy użyciu następujących metod:

  • Interfejs wiersza polecenia platformy Azure: użyj polecenia az ad sp list --display-name <name of your Automanage Account>.

  • Azure Portal: Przejdź do Microsoft Entra ID i wyszukaj swoje konto Automanage według nazwy. W sekcji Aplikacje dla przedsiębiorstw wybierz nazwę konta Automanage, gdy się pojawi.

Azure Portal

  1. W obszarze Subskrypcje przejdź do subskrypcji zawierającej automatycznie zarządzane maszyny wirtualne.

  2. Wybierz pozycję Kontrola dostępu (IAM).

  3. Wybierz Dodaj>Dodaj przypisanie roli, aby otworzyć stronę Dodawania przypisania roli.

  4. Przypisz następującą rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    Ustawienie Wartość
    Rola Współautor
    Przypisz dostęp do Użytkownik, grupa lub jednostka usługi
    Członkowie <Nazwa konta automatycznego zarządzania>

    Zrzut ekranu przedstawiający stronę Dodawanie przypisania roli w portalu Azure.

  5. Powtórz kroki od 2 do 4, wybierając rolę Współautor zasad dotyczących zasobów.

Szablon ARM

Uruchom następujący szablon ARM. Będziesz potrzebować identyfikatora Principal ID swojego konta Automanage. Kroki, które należy wykonać, znajdują się na początku tej sekcji. Podaj identyfikator, gdy zostaniesz o to poproszony.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "principalId": {
            "type": "string",
            "metadata": {
                "description": "The principal to assign the role to"
            }
        }
    },
    "variables": {
        "Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', 'b24988ac-6180-42a0-ab88-20f7382dd24c')]",
        "Resource Policy Contributor": "[concat('/subscriptions/', subscription().subscriptionId, '/providers/Microsoft.Authorization/roleDefinitions/', '36243c78-bf99-498c-9df9-86d9f8d28608')]"
    },
    "resources": [
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        },
        {
            "type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2018-09-01-preview",
            "name": "[guid(uniqueString(variables('Resource Policy Contributor')))]",
            "properties": {
                "roleDefinitionId": "[variables('Resource Policy Contributor')]",
                "principalId": "[parameters('principalId')]"
            }
        }
    ]
}

Interfejs wiersza polecenia platformy Azure (CLI)

Uruchom te polecenia:

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Contributor" --scope /subscriptions/<your subscription ID>

az role assignment create --assignee-object-id <your Automanage Account Object ID> --role "Resource Policy Contributor" --scope /subscriptions/<your subscription ID>

Następne kroki

Dowiedz się więcej o usłudze Azure Automanage